Onafhankelijke beoordeling van IoT apparatuur: een middel in de strijd tegen cyberincidenten
‘Onveilige ‘slimme’ apparaten straks van de markt geweerd, maar risico’s blijven’ kopte NOS onlangs. In het artikel wordt dieper ingegaan op onveilige routers, netwerkschijven en beveiligingscamera’s en de nieuwe Europese wetgeving die hiermee vanaf 2024 korte metten moet maken. Om de risico’s die kleven aan het gebruik van ‘slimme’ apparatuur zo goed mogelijk te beheersen, is het volgens Kiwa’s cybersecurity-expert Santosh Sharman essentieel om producten die moeten voldoen aan de nieuwe Europese wetgeving te laten beoordelen door een onafhankelijke derde partij.
‘Je kunt alle maatregelen treffen die je wilt, maar honderd procent cyberveilig ben je nooit’, vindt Santosh Sharman. ‘Niet als gebruiker, niet als organisatie en niet als fabrikant. Het is dus de kunst om voldoende maatregelen te treffen en er zo voor te zorgen dat de “restrisico’s” acceptabel zijn.’ Maar welke maatregelen neem je dan? Volgens Sharman hangt dat af van je rol in de keten. ‘Als gebruiker moet je beginnen bij de basis: door wachtwoordmanagers te gebruiken en hierdoor wachtwoorden te laten genereren, door veiliger in te loggen met tweefactorauthenticatie en door te letten op de kwaliteit van de producten die je aanschaft. Vaak krijg je als je de website van een fabrikant checkt of reviews leest al een goed beeld van hoe serieus een fabrikant zijn product en de security daarvan neemt.’
Op dit moment ontbreken volgens Sharman bij veel IoT consumentenproducten zelfs de meest basale maatregelen voor cyberveiligheid. ‘Vanaf 2024 is dat echter verplicht. Het is de bedoeling dat fabrikanten er uiteindelijk zélf, aan de hand van geharmoniseerde standaarden, ervoor kunnen zorgen dat ze voldoen aan de nieuwe EU-wetgeving. Een fabrikant mag middels een Declaration of conformity zelf beweren dat zij voldoet aan de eisen uit een geharmoniseerde standaard. Maar ook al komt een product met zo’n Declaration of Conformity, het blijft goed om dit ook te laten beoordelen door een onafhankelijke derde partij. Een beoordeling door een onafhankelijke derde partij geeft ook een objectief beeld van de security van het product. Ook kun je als fabrikant continu proactief zoeken naar kwetsbaarheden in jouw product en die vervolgens zo snel mogelijk patchen. Zo zijn er nog meerdere dingen die je als fabrikant op kan pakken om de veiligheid van jou product in acht te nemen. Cybersecurity is geen sprint maar een marathon. Dus, plan het long term met short term iteratieve stappen waarbij de impact van de constante ontwikkelingen in dit veld meegerekend worden.’